Проверка сервера антивирусным ПО
Применимость: Debian, Linux, CentOS, Ubuntu
Задача:
Установить антивирусные утилиты, провести проверку на вредоносный код.
Решение:
Для того что бы выполнить проверку сервера на вредоносные файлы следует установить необходимое ПО. В данной статье рассмотрим антивирусные утилиты clamav и maldet. При проверке антивирусная утилита maldet использует и антивирусные базы ClamAV, поэтому рекомендуем выполнять установку обеих утилит, и maldet и ClamAV, а для проверки использовать утилиту maldet.
Установка ClamAV на Debian/Ubuntu и CentOS
Для установки ClamAV на Debian/Ubuntu необходимо выполнить команду:
# sudo apt-get install clamav
Для установки ClamAV на CentOS необходимо выполнить команду:
# sudo yum install clamav
Основные команды для работы с ClamAV
Обновление антивирусной базы:
# sudo freshclam
Проверка всей системы:
# sudo clamscan -r /
Проверка отдельного каталога:
# sudo clamscan -r /path/to/directory
Вывод только инфицированных файлов (использование ключа –i):
# sudo clamscan -ir /path/to/directory
Перемещение зараженных файлов и последующее их удаление:
# sudo mkdir /infected_files
# sudo clamscan -ir / --move=/infected_files
Удаление файлов:
# sudo rm -rf /infected_files/*
Справочная информация по clamav:
# man clamav
Установка Maldet на linux системах:
Для выполнения установки необходимо выполнить:
# cd /tmp
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar xfz maldetect-current.tar.gz
# cd maldetect-*
# ./install.sh
# maldet --update-ver
# maldet --update
Основные команды для работы с Maldet
Перед началом проверки необходимо обязательно обновить базы данных антивирусных утилит:
# freshclam
# maldet --update-ver
# maldet --update
Запуск сканирования файлов:
# maldet -a /path/to/directory
Пример результата сканирования:
Dec 05 03:10:20 s1 maldet(6666): {scan} file list completed, found 8095432 files...
Dec 05 03:10:20 s1 maldet(6666): {scan} found ClamAV clamscan binary, using as scanner engine...
Dec 05 03:10:20 s1 maldet(6666): {scan} scan of /var/www (8095432 files) in progress...
Dec 05 03:29:14 s1 maldet(6666): {scan} scan completed on /var/www: files 8095432, malware hits 18, cleaned hits 0
Dec 05 03:29:14 s1 maldet(6666): {scan} scan report saved, to view run: maldet --report 102814-0358.6666
Dec 05 03:29:14 s1 maldet(6666): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 102814-0358.6666
Просмотра отчета:
# maldet --report 102814-0358.6666
Так же информация о проверке будет храниться в файле:
# tail /usr/local/maldetect/event_log
Перенос файлов в карантин:
# maldet -q 102814-0358.6666
Файлы перемещенные в карантин находятся в каталоге:
# ls -la /usr/local/maldetect/quarantine/
Удаление зараженного файла из карантина:
# rm /usr/local/maldetect/quarantine/config.php.2384 -y
Восстановление файла из карантина:
# maldet –restore /usr/local/maldetect/quarantine/config.php.2384
